Jsou čeští internetoví odborníci odolní vůči socialnímu inženýrství?
Nálepky:
Během středy a čtvrtka se stala zajímavá událost, která by těm, kdo neznají službu Twitter, unikla. Přesto stojí za zmínění, už jen protože k takové události nedochází často. Kde se vzala, tu se vzala, objevila se nová služba, která nabízí uživatelům spočítat jejich Twitterank (jedná se o celkem záhadné číslo, které má vyjádřit jakési skóre dotyčné osoby). Ke svému spočítání nepotřebuje nic jiného, než svěření přihlašovacích údajů (loginu a hesla uživatele) ke službě Twitter. Svěřili byste neznámé službě údaje ke svému účtu? Kolik lidí něco takového může udělat?
Skutečnost byla překvapivá. Zdá se, že tisíce uživatelů na tento fakt přistoupily. Vlna zájmu se dostala i mezi české uživatele, z nichž desítky Twitterank skutečně použily. Nejednalo se přitom o začínající uživatele, ale často právě o internetové odborníky. Najdeme mezi nimi známá jména, dokonce autory článků o bezpečnosti (dovolíme si ze slušnosti nikoho z nich nejmenovat). Upozornění na nebezpečnost akce se objevilo na ZDNetu. Autor zlý úmysl popírá a skutečně nikdo si zatím na zneužití svých údajů nestěžoval. Přesto je nečekané, kolik odborníků snadno sdělí své přihlašovací údaje neznámým zdrojům. Ačkoliv v tomto případě zřejmě nešlo o hrozbu, pokud by se opravdu jednalo o útok používající sociální inženýrství, počet postižených během několika málo dnů by nebyl vůbec malý.
Celému problému nahrává nepříjemný fakt, že dnes stále více služeb na webu funguje na bázi „věř mi a sděl mi svá hesla do jiných služeb, potřebuji to nutně k vykonání úkolu X.Y.“, což uživatele učí nevhodné návyky (někteří tento problém nazývají password anti-pattern) a jak se nyní ukázalo, jedná se o skutečný problém, který může být s velkým úspěchem zneužit bez ohledu na zkušenost uživatelů.
Martin Hassman
Martin Hassman založil a vede magazín Zdroják. Absolvoval VŠCHT Praha. Byl u založení projektu CZilla (dnes už nepamatujete, nevadí). Stavěl mosty a metal cestu pro HTML5 (to tu ještě máme). V GUG.cz organizoval akce pro vývojáře (a jestli neumřeli, kódují si dodnes…).
Takovéto návyky Vás přece učí i služby velkého Google (Blogger takte žádá o přístup), nebo i třeba známy Facebook.com, Geni.com, Linkedin.com a desítky dalších služeb…
To se pak není třeba divit, to je jen popisování faktu ;o)
(řekl ten, kdo si před zjištění TwitterRaku změnil heslo na "123456" a po změně vrátil na své defaultní)
Existují desítky velmi známých služeb, které ke své funkci potřebují uživatelovo jméno a heslo.
Např. http://www.meebo.com/ si vezme vaše heslo do icq, nebo Fring vaše heslo do Skype. A Fring používá na svém iPhone i známý "odborník" Zandl! Kolik peněz má nabitých na svém Skype účtu?
Já věřím, že to ty služby nezneužijí, ale jsou zabezpečeny dostatečně na to, aby jim tu databázi nikdo neukradl?
Tak jsem se podíval, kolik mám na Skype a přesně, jak jsem očekával, nula. Snad vás to uspokojí.
A ano, hesla svěřuji řadě programů. Namátkou emailový klient, SIP klient, IM klient.
Akorát nevím, proč vám ležím tak v žaludku, že si mne musíte brát do úst jak na Lupě, tak na Rootovi, přitom se ani neznáme :)
A není náhodou rozdíl, jestli svěřím heslo lokální aplikaci, anebo online službě?
Kdybyste se pídil, jak Fring funguje, tak byste zjistil, že heslo musí být i na jejich vzdáleném serveru, kde je brána mezi Skype sítí a Fring protokolem.
Je údělem celebrit, že si je do úst berou i lidé, které možná ani neznají :-)
Není v tom rozdíl, protože aplikace může heslo odevzdat nějak do internetu stejně, jako online služba …
Co se Fringu týká, jistě vím, že Skype heslo ukládá, jinak ani nemůže. A protože znám i osobně lidi z Fringu, nemyslím si, že jsou to takový poděsové, aby to někdy použili.
Martine, jak rozpoznáváš lidi, kteří si před vyzkoušením uvedené služby změnili heslo, aby si ho poté vrátili zpět, a kteří ne? Je mi jasné, že to řada lidí neudělala, ale tvůj příspěvek zavání, jako by každý, kdo uvedenou službu vyzkoušet, se stal obětí sociálního inženýrství.
Protože se jím minimálně z pohledu únosu identity (ke kterému mohlo dojít bez ohledu na změnu hesla) skutečně stal.
A co takový Facebook, nebo LinkedIn? O tom nikdo nemluví? Není tam sice zadání těchto údajů nutné, ale pokud chcete udělat import kontaktů, s kterým vás to otravuje pořád, tak musíte zadat přihlašovací jméno a heslo k emailovému účtu.
Je toto bezpečné? Nebo je snad Linkedin, či Facebook považován za bezpečný? Ani si nemyslím…
Není to bezpečné. Jedná se o problém, který je zmiňován v posledním odstavci zprávy.
Podělím se o způsob, jak lze komunikaci se službou přes prostředníka řešit i bez odeslání hesla na prostředníkův server. Lze to bohužel použít jen v některých případech.
K prostředníkovi se odešlou všechna potřebná data vyjma hesla. To neopustí klientův počítač, ale bude zapsáno ve fragmentu URI (tedy za znakem #). Server udělá potřebné operace a pro závěrečnou komunikaci se serverem služby vygeneruje JavaScript. Ten postaví přes DOM formulář, heslo si vezme z window.location.hash a odešle jej. Poté zpracuje výsledek a předá uživateli (nebo znovu prostředníkovu serveru pro finální zpracování). Podstatné je, jak jsem psal, že heslo neopustí klientův počítač.
To mi připomíná tu scénku z Červeného Trpaslíka, kdy Lister vymýšlí komplikovaný způsob úniku z vězení („roztrháme prostěradlo, to svážeme, vyhodíme z okna, omráčíme stráže…“) a nakonec zjistí, že existuje jiná možnost, a dodává: „… anebo v nejhorším použijeme teleport!“
Takže tohle je přesně stejná situace: Anebo v nejhorším použijeme OAuth!
OAuth totiž slouží přesně k tomuhle účelu – abys nemusel na stránky prostředníka vkládat heslo. Funguje to tak, že tě prostředník nasměruje na danou službu, tam se přihlásíš (heslo tedy zase putuje mezi klientem a cílovou službou) a služba tě na základě tvého přihlášení pošle zpět k prostředníkovi s nějakým dočasným ticketem, který prostředníkovi umožní vyžádat si od služby nějaká data.
Ale budování DOM stromu Javascriptem a onanování s fragmentem adresy zapadá mnohem líp do současného AJAXího trendu, takže se jistě ujme! :)
Jak samozřejmě každý divák nejen Trpaslíka pochopil, postup se týkal služeb, které OAuth nepodporují.
… a to je právě ten rozdíl mezi postupem "jak by to šlo" a postupem "jak by se to mělo dělat".
dobre, mozna se ptam uplne spatne, ale to pak prece nejde si uzivcatele zapamatovat
no můžeš si pamatovat username a s trochou štěstí ti tvůj javascript nahlásí neověřitelnou informaci zda se podařilo uživateli přihlásit s jeho heslem. každopádně ale nelze zaručit, že jiný uživatel se k datům tohoto uživatele nedostane, pokud nepřidáš další způsob ověřování…
„K prostředníkovi se odešlou všechna potřebná data vyjma hesla. To neopustí klientův počítač, ale bude zapsáno ve fragmentu URI (tedy za znakem #).“
A co podvodné službě které budu důvěřovat zabrání si jednou denně na 10 minut přidat do svojí stránky javascript, který si tu adresu (včetně toho za znakem #) přečte přímo z prohlížeče a pošle jí na svůj server?
Stejně tak řeším problém, jak by uživatel mohl například do diskuzního fóra psát GPG šifrované zprávy bez použití pluginů v prohlížeči (tedy přenositelně) a bez možnosti ukradení soukromého klíče adminem webu…